WŁAMANIE JOOMLA - Określanie strat - możliwe typy włamań cz. 2#

Data: 2013-04-07 21:49:37

Informacja

Ten artykuł jest archiwalny i może być nieaktualny.

Gdy mamy kopię zawirusowanej strony możemy spokojnie przyjrzeć się co zostało zmienione. Ja spotkałem się z czterema typami włamań na stronę. Włamanie polegające na umieszczeniu podmienionych plików PHP albo GIF, których zdalne wywołwanie komendą POST z innych zawirusowanych komputerów ZOMBIE powoduje masowe wysyłanie spamu.

W zależności od hostingu mogą to być dziesiątki tysięcy maili dziennie. Dlatego tak ważne jest wydzielenie strony od zewnętrznych zapytań. Kolejnym typem włamania jest umnieszczenie w bazie danych MySQL artykułów, zazwyczaj zawierających treści reklamujące viagrę oraz linki zwrotne wykorzystyjące reputację naszej domeny do wzmocnienia innej domeny. Moim zdaniem ten typ ataku jest najgroźniejszy, bo niszczy nam bazę danych w których mamy artykuły.

Czyszczenie po takim włamaniu jest najbardziej czasochłonne. Spotkałem się jeszcze z atakiem polegającym na umieszczenie przekierowania w pliku .htaccess które powoduje to, że np. jeśli ktoś wejdzie z linka odnoszącego do naszej strony z GOOGLE, to jest przekierowany z naszej strony na stronę z trojanem.

Często sam trojan jest pobierany w tle z innej strony. Takie przekierowanie ciężko jest wykryć, bo przekierowuje się jakiś % ruchu…Czwartym i podobnym do tego włamania jest nie tyle podmiana .htaccess i przekierowanie, co umieszczenie pliku trojana na serwerze i przy wejściu jest on zaciągany na komputer każdego użytkownika.

Omawiam włamania, z którymi najczęściej się spotykaliśmy.